知名加密矿池F2Pool联合创始人神鱼4月29日在推特发出警告称,多达10亿用户的云输入法可能已经泄露输入内容。他表示,中国8家输入法软件存严重漏洞,须谨慎加密货币钱包私钥外泄。
神鱼提到,逾10亿用户的云端拼音输入法软件可能已泄露输入内容,如果用户通过下文分析中的输入法,输入过钱包记助词或其他敏感信息,他呼吁采取相应措施以降低遭黑客入侵风险。
根据神鱼的推文引述,数字监督组织公民实验室(The Citizen Lab)分析了9家提供软件的公司,包括百度、荣耀、华为、讯飞、OPPO、三星、腾讯、VIVO和小米,其中8家的输入法软件包含严重的漏洞,仅华为幸免于难。
综合先前研究中发现的搜狗输入法漏洞,估计至少有10亿用户受到漏洞影响,基于以下原因,用户输入内容可能已经遭大规模搜集。
据The Citizen Lab提出的担忧,漏洞影响广泛的用户群体;用户在键盘中输入的信息极为敏感;发现这些漏洞不需要高深的技术;五眼联盟(Five Eyes)过去曾利用中国应用程序中类似的漏洞实施监控。
五眼联盟是由澳大利亚、加拿大、新西兰、英国以及美国五个国家组成,在英美协定下组成的国际情报分享团体。
在9家提供软件的应用程序测试中,仅有华为的产品未发现上传用户输入内容至云端相关的安全问题,其他每个软件至少都会有一个应用程序含有漏洞,使得被动型网络攻击者得以监看用户输入的完整内容。
另一方面,苹果iOS系统在测试中没有出现漏洞问题。
主动型网络监听攻击必须主动发出信号,例如在信息传输过程中窜改少数数据,才能破解加密内容,而主动型网络监听相对容易被侦测到。
被动型网络监听攻击无需发出任何讯号,单纯读取传输中的数据,即可达成解密。两者相比之下,被动型网络监听攻击较难被侦测到。
在测出漏洞后,The Citizen Lab将漏洞资讯提交给软件公司。但据了解,有些公司已修补其中几个较严重的漏洞,有些厂商则是完全未修补。
为了提高安全意识,The Citizen Lab提出建议,搜狗、QQ、百度、讯飞输入法的用户,无论输入法是手动从应用程式商店安装或者原本就内置在操作系统当中,应确保输入法及操作系统维持在最新版本。
该机构也指出,顾虑隐私的用户应停用任何输入法中的云端功能,顾虑隐私的苹果iOS用户不要启动输入法的“允许完整访问权”。
0
